在工業(yè)生產(chǎn)運營(yíng)、工業(yè)云服務(wù)等過(guò)程中，工業(yè)互聯(lián)網(wǎng)平臺與工業(yè)現場(chǎng)存在著(zhù)大量數據交互。從數據來(lái)源和典型應用需求來(lái)看，工業(yè)互聯(lián)網(wǎng)平臺數據上傳和下行存在六種形式，分別是：云與協(xié)同層辦公網(wǎng)數據之間的傳輸，目的是促進(jìn)企業(yè)辦公業(yè)務(wù)系統的協(xié)同化、智能化；云與企業(yè)層生產(chǎn)管理系統，如ERP系統之間的數據傳輸，主要目的是促進(jìn)企業(yè)智能決策；云與車(chē)間層，如MES系統之間的數據傳輸，主要是促進(jìn)智能排產(chǎn)；云與控制層，如SCADA之間的數據傳輸，主要是促進(jìn)數據的智能化控制及監測分析；云與現場(chǎng)設備層，如工業(yè)傳感器等終端采集點(diǎn)的直接數據交互；云與邊緣節點(diǎn)之間的數據雙向傳輸。其中前五種方式是當前常見(jiàn)的數據交互形式，其工業(yè)互聯(lián)網(wǎng)平臺數據交互形式如圖1所示。第六種方式適用于有邊緣計算的場(chǎng)景中，邊緣節點(diǎn)與工業(yè)互聯(lián)網(wǎng)平臺數據交互形式如圖2所示，其區別在于，邊緣節點(diǎn)不再只是數據的消費者，還是數據的生產(chǎn)者。

通過(guò)以上六種形式的數據交互，大量工況狀態(tài)數據以及工業(yè)現場(chǎng)溫濕度、壓力、位移等工業(yè)傳感數據逐漸上云匯聚，這些在云端匯聚存儲的數據愈發(fā)成為黑客重點(diǎn)攻擊目標，可引發(fā)重要工業(yè)數據泄露等事件。因此，亟需對控制指令、重要工藝參數、工況狀態(tài)、供應鏈數據等重要敏感數據部署數據加密、完整性校驗等密碼技術(shù)措施，確保數據存儲、使用、傳輸、共享等過(guò)程中的保密性、完整性和可用性。

相較于傳統網(wǎng)絡(luò )數據，工業(yè)互聯(lián)網(wǎng)數據需在保證實(shí)時(shí)性、穩定性和可靠性等前提下實(shí)施安全保護策略，現有的國外RSA、ECC等成熟商用密碼算法計算量較大，更注重不可破解性，不能完全滿(mǎn)足工業(yè)互聯(lián)網(wǎng)對于實(shí)時(shí)性的要求。相比于國外密碼算法，部分國產(chǎn)SM系列算法雖然性能消耗相對較低，但因產(chǎn)業(yè)化不足，市場(chǎng)生產(chǎn)和適配成本較高，相關(guān)密碼在工業(yè)互聯(lián)網(wǎng)平臺中的應用還不夠廣泛。此外，物聯(lián)網(wǎng)及工業(yè)終端計算資源、存儲資源受限，集成密碼技術(shù)會(huì )占用有限資源，也成為密碼技術(shù)應用受限的重要原因。

針對上述問(wèn)題，國內外就密碼算法方面已開(kāi)展了一系列研究。2013年，美國國家標準技術(shù)研究院（NIST）啟動(dòng)了“輕量級密碼”項目，以研究NIST已批準的密碼標準在資源受限設備上的應用效果。2017年，NIST發(fā)布了《輕量級密碼報告》，給出了輕量級密碼算法標準化相關(guān)計劃。2018年，NIST發(fā)布了56個(gè)基于SPN結構（如AES）或者Feistel結構的輕量級密碼算法。2019年，NIST發(fā)布了新版大數據互操作框架NBDIF（SP 1500）[8]，該框架的安全與隱私篇根據密碼技術(shù)所支持的功能，以及它們實(shí)施的數據可見(jiàn)性對密碼技術(shù)進(jìn)行分類(lèi)。國際標準化組織（ISO）也發(fā)布了《輕量級密碼（ISO/IEC 29192）》，對CLEFIA、IBS等輕量級算法進(jìn)行描述。

我國高度重視商用密碼算法的研究及應用。2019年發(fā)布的《密碼法》明確提出“國家鼓勵商用密碼技術(shù)的研究開(kāi)發(fā)、學(xué)術(shù)交流、成果轉化和推廣應用；依法平等對待包括外商投資企業(yè)在內的商用密碼科研、生產(chǎn)、銷(xiāo)售、服務(wù)、進(jìn)出口等”。當前已經(jīng)發(fā)布了《信息安全技術(shù) SM4分組密碼算法（GB_T 32907-2016）》《信息安全技術(shù) 二元序列隨機性檢測方法（GB_T 32915-2016）》等密碼算法標準，SM2/3/9密碼算法[10]也正式成為ISO/IEC國際標準。在國家法律和相關(guān)標準工作的推動(dòng)和支持下，密碼算法尤其是輕量級密碼算法的研究勢必將成為行業(yè)企業(yè)及科研機構繼續加大研究力度的著(zhù)眼點(diǎn)，這將有效促進(jìn)工業(yè)互聯(lián)網(wǎng)平臺中的密碼應用，加強工業(yè)互聯(lián)網(wǎng)數據安全保障，提升工業(yè)互聯(lián)網(wǎng)平臺的安全可信水平，從而促進(jìn)工業(yè)企業(yè)數據上云，讓部分數據在云端進(jìn)行知識建模及二次利用，發(fā)揮更大的價(jià)值。

隨著(zhù)工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，工業(yè)互聯(lián)網(wǎng)平臺建設日益完善的同時(shí)，也面臨著(zhù)數據收集、傳輸、存儲、使用、銷(xiāo)毀等全生命周期的數據泄露、篡改、偽造等新風(fēng)險、新挑戰，催生了新的數據安全密碼研究及應用需求，具體分析如下：

一是輕量級密碼算法需求。工業(yè)互聯(lián)網(wǎng)中大量設備裸露在外部環(huán)境中，極大增加了其被仿冒的概率，容易引發(fā)數據偽造、泄漏等安全問(wèn)題。此外，設備資源受限，計算及存儲能力有限，而工業(yè)互聯(lián)網(wǎng)對數據的實(shí)時(shí)性要求高，高實(shí)時(shí)、高可靠的輕量級數據加密、身份認證、完整性校驗算法成為工業(yè)互聯(lián)網(wǎng)中密碼應用迫切需要解決的難題。通過(guò)相應的密碼算法，可以實(shí)現數據在源端到傳輸通道的安全性。

二是密文檢索分析需求。當數據通過(guò)加密的方式上傳至云端數據庫，云服務(wù)商會(huì )根據客戶(hù)需求對部分關(guān)鍵數據或重要數據進(jìn)行加密存儲。但是當云服務(wù)客戶(hù)利用云平臺對數據進(jìn)行建模分析時(shí)，又需要將密文解密后進(jìn)行分析，這會(huì )極大消耗計算資源，造成資源浪費?，F有的同態(tài)加密技術(shù)雖然能夠解決密文檢索問(wèn)題，但是因為技術(shù)相對不夠成熟，還不能支持所有類(lèi)型的數據操作。因此，亟需深入研究密文檢索和分析技術(shù)，設計低時(shí)延、支持動(dòng)態(tài)操作的分布式安全存儲系統，在保證數據安全分析的同時(shí)降低云端資源損耗。

三是高可靠的密鑰管理系統需求。工業(yè)互聯(lián)網(wǎng)中大量業(yè)務(wù)系統、邊緣設備接入云端，目前主要通過(guò)加密協(xié)議實(shí)現與云端的數據交互和互信互任。與其他互聯(lián)網(wǎng)應用場(chǎng)景不同，工業(yè)互聯(lián)網(wǎng)場(chǎng)景下的工業(yè)系統和設備使用大量的工業(yè)專(zhuān)有協(xié)議，數據上云情況復雜，如可能通過(guò)接入網(wǎng)關(guān)進(jìn)行協(xié)議轉換實(shí)現數據上云、通過(guò)安全區域DMZ實(shí)現數據上云、通過(guò)業(yè)務(wù)系統數據庫上云等。多種多樣的數據上云方式產(chǎn)生了大量加解密密鑰，云端的密鑰管理成為實(shí)現數據加密傳輸、存儲的關(guān)鍵能力，因此，設計高可靠、高實(shí)時(shí)的密鑰管理系統，可以有效提高數據上云的可操作性。

新形勢下，工業(yè)互聯(lián)網(wǎng)數據安全保護需綜合考慮各類(lèi)工業(yè)場(chǎng)景下密碼應用的不同需求以及數據全生命周期的安全需求，做好密碼技術(shù)研究及應用。具體密碼保護框架如圖3所示。

基于工業(yè)互聯(lián)網(wǎng)平臺所承載數據的重要性以及數據交互形式的多樣性，下一步，為貫徹落實(shí)《密碼法》相關(guān)要求，結合工業(yè)互聯(lián)網(wǎng)平臺數據安全保護對密碼技術(shù)的需求，建議從以下四方面開(kāi)展基于密碼技術(shù)的工業(yè)互聯(lián)網(wǎng)平臺數據安全保護工作：

一是完善頂層規劃，加強工業(yè)互聯(lián)網(wǎng)平臺密碼應用的指導性。在《密碼法》的基礎上，有關(guān)主管部門(mén)可結合行業(yè)需求，細化要求，出臺工業(yè)互聯(lián)網(wǎng)密碼應用細則等政策指導文件，完善工業(yè)互聯(lián)網(wǎng)數據安全保護中的密碼應用認證規范，加強相關(guān)認證機構及密碼應用行業(yè)企業(yè)的管理，打造工業(yè)互聯(lián)網(wǎng)平臺數據安全密碼應用環(huán)境。

二是加強核心技術(shù)研究，提升工業(yè)互聯(lián)網(wǎng)平臺密碼應用的適用性。相關(guān)工控廠(chǎng)商、系統集成商、平臺企業(yè)及科研機構應結合工業(yè)互聯(lián)網(wǎng)平臺對密碼技術(shù)的需求，研究形成輕量級的加密、完整性校驗、簽名算法及產(chǎn)品，平衡安全性與實(shí)時(shí)性需求，為工業(yè)互聯(lián)網(wǎng)平臺數據保護提供技術(shù)保障。

三是加快標準制定，促進(jìn)工業(yè)互聯(lián)網(wǎng)平臺密碼的規范性。在《GB_T 37092-2018信息安全技術(shù) 密碼模塊安全要求》《GB_T 36322-2018信息安全技術(shù) 密碼設備應用接口規范》《GB_T 31530-2015 信息安全技術(shù)  電子文檔加密與簽名消息語(yǔ)法》等已發(fā)布國家標準的基礎上，應加快形成完整的工業(yè)互聯(lián)網(wǎng)行業(yè)的密碼應用標準體系，及時(shí)制定工業(yè)互聯(lián)網(wǎng)加密、簽名、完整性驗證等關(guān)鍵急需標準，規范行業(yè)密碼應用。

四是推動(dòng)成果轉化，促進(jìn)工業(yè)互聯(lián)網(wǎng)平臺密碼應用產(chǎn)業(yè)化。對于較為成熟的國產(chǎn)SM系列等算法及其他輕量級密碼算法，加快產(chǎn)品研制與推廣，鼓勵企業(yè)部署相關(guān)產(chǎn)品，形成規?；a(chǎn)和產(chǎn)業(yè)化應用的良好市場(chǎng)，有效降低成本，讓密碼技術(shù)真正在工業(yè)互聯(lián)網(wǎng)平臺數據安全保護中發(fā)揮作用。（基金項目：國家重點(diǎn)研發(fā)計劃[2018YFB2100400]

作者| 國家工業(yè)信息安全發(fā)展研究中心 何小龍 柳彩云 李俊 陳雪鴻